セキュリティリサーチャーらは、マルウェア開発者が作り出したコードの分析によって、「Windows」を標的としたエクスプロイトが売買される、複雑で秘密のベールに閉ざされた世界の片りんを垣間見ることができた。
セキュリティ企業Check Point Software Technologiesのリサーチャーらは、Windowsのエクスプロイトを数多く作り出している2人の開発者に焦点を当てたレポートを発表した。この2人によって作り出されたと考えられる、Windowsカーネルのローカル権限昇格を引き起こすエクスプロイトは合計すると、少なくとも16種類(その多くは開発時点ではゼロデイ脆弱性を突くものだった)にのぼっている。
こういったエクスプロイト、すなわちセキュリティ脆弱性を突く武器化されたコードは、マルウェアがその目的を果たす上で重要な役割を果たす。
このレポートは、エクスプロイト開発者の癖やプラクティスを分析することで、どのようにしてマルウェア開発者(同レポートのケースでは、VolodyaとPlayBitとして知られる開発者)の「指紋」を追跡したのかを記しているだけでなく、ベールに閉ざされたマルウェアの世界の複雑な経済システムに関する洞察も与えてくれる。
マルウェアを構成する各パーツとなるコードは、1人の個人や単独のチームによって開発されたものだと考えられがちだ。しかし現実は違っている。マルウェア、特に国家や犯罪者集団が関与するマルウェアは、多くのグループによって開発されている。
今回のレポートにもあるように、ソフトウェアの特定の脆弱性を見つけ出した後、既存のマルウェアと組み合わせてその能力を最大限に発揮できるようなエクスプロイトを開発するには、グループ間での連携が必須となる。このためエクスプロイトの開発者と、国家や犯罪者集団が関与するマルウェアの開発者は、さまざまなコンポーネントを接続できるようにAPIを策定することになる。
Check Pointのレポートには「このような統合APIは国家が関与するアクターの話でのみ登場するわけではなく、エクスプロイトの『フリーマーケット』でよく見られる特徴だ。地下フォーラムやエクスプロイトの仲介業者、サイバー兵器企業すべては、エクスプロイトをマルウェアに統合する方法についての説明書を顧客に提供している」と記されている。
こういった開発者(彼らは個人であったり、チームで共同作業をしている可能性がある)は、開発したエクスプロイトを、ランサムウェア犯罪に手を染めているグループと、国家の支援を受けたグループの双方に向けて売り込んでいる。そして、そのエクスプロイトを購入したグループが、自らのマルウェアプロジェクトにそれを組み込むことになる。このようなエクスプロイトがいくらで販売されているのかを知るのは難しいが、過去のエクスプロイトではかなり高い価格が提示されていたのは確かだろう。
